McAfee 8.8 规则设置

鱼，我所欲也；渔，我所欲也。要鱼得鱼，要渔得渔，梦寐所求也。
咖啡是杀毒软件，访问保护是辅助的，所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是：杀毒强于规则，文件规则强于注册表规则，注册表规则强于端口规则，但四者各有所长，相互配合，才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。

一、通配符
McAfee 8.8 规则设置之难，难于通配符而已。通配符之难，难于8.8不支持“？：\”表示任意盘符。以WINDOWS和Program Files文件夹为例，下面是文件夹的表示方法：
*\WINDOWS：表示任意盘符下的WINDOWS文件夹（在“要阻止的进程”中无效）。
**\WINDOWS：表示任意盘符下的WINDOWS文件夹（所有进程有效）。
*\**\WINDOWS：表示任意盘符下的WINDOWS文件夹（所有进程有效）。
文件的通配符表示方法：
*\WINDOWS\**：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（在“要阻止的进程”中无效）。
**\WINDOWS\**：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（所有进程有效）。
*\**\WINDOWS\**：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（所有进程有效）。
*\WINDOWS\**\*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效）。
**\WINDOWS\**\*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（所有进程有效）。
*\**\WINDOWS\**\*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（所有进程有效）。
文件夹名的通配符表示方法：
Program Files*：表示Program Files文件夹以及其后有多个任意字符的文件夹，当然包括Program Files (x86)。
PROGRA~?：？表示任意单个字符，当然包括1、2、3、4等。关于PROGRA~1，百度一下就知道了。
*\Program Files*\**\*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效）
**\Program Files*\**\*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效）
*\**\Program Files*\**\*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效）
要包含的进程通配符表示方法：
*：表示所有进程。
**：表示所有进程。
*.*：表示所有带后缀的进程（解决Sestem进程无法排出的问题）。
其它：?:\*：单独表示根目录继续有效。
说明：经实践，以上语法在8.7i中同样有效。

二、规则设置思路
规则是用来辅助杀毒软件

防御未知病毒的，思路不同，规则的框架也就不同。下面是两种防御思路：
1、划分信任区，禁止非信任区程序非法运行，保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。
2、拟出绝对路径的白名单，白名单允许运行并禁止篡改，其它一律禁止。这种思路的关键是白名单必须找准。
说明：此思路的规则坛子里目前空白，有兴趣的可以一试。系统白名单提取思路——纯系统（不同系统）安装咖啡，去掉咖啡所有默认排除如法炮制名单，所有规则不保护、只勾选报告，进行各种运行和操作，最后从报告中整理出绝对路径的白名单，这个名单是通用的。然后在装好应用软件的系统里如法炮制，又可以得到其它白名单，这个名单是个性的的，常用软件还是通用的。
3、干净PC，入口防御。即在本机无毒的前提下，禁止可移动设备的程序非法运行和浏览器非法下载。
以上每一种思路下都可以做到非常严格和相对宽松。
下面就以第一种思路为例来设置McAfee 8.8 规则。

三、前期准备
1、安装McAfee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。
2、划分信任区。我的划分比较严格：
*\**工具\**\*.*, *\**电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
说明：信任区包括任意盘符下带后缀的系统程序，安装在Program Files、Program Files (x86)以及非Program Files下的应用软件，32、64位通用，加入*\PROGRA~?\**\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行（虽然99.99%用不着）。4KBrowser四库全书，AloneSbck四部丛刊，EMPIRE EARTH地球帝国，KangXiDict康熙字典，没有的这些的在下面的设置中去掉即可。
3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。
4、安排规则框架。
（1）禁止非信任区程序非法运行：理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口，其中，“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是，这是咖啡的极致规则，“阻止对所有共享资源的读写访问”开启，非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以，其它三个规则在用户定义的规则中加不加两可。
（2）保护信任区程序不被非法篡改：需要两类规则——保护系统程序、应用软件程序
（3）禁止其它风险运行：例如防映像劫持、防U盘病毒、保护根目录等。

万事俱备，下面就实践吧